Startpagina » school- » Procesverkenner begrijpen

    Procesverkenner begrijpen

    Deze les in onze Geek School-serie omvat Process Explorer, misschien wel de meest gebruikte en nuttige toepassing in de SysInternals-toolkit. Maar hoe goed ken je dit hulpprogramma echt??

    SCHOOLNAVIGATIE
    1. Wat zijn de SysInternals-hulpmiddelen en hoe gebruikt u ze??
    2. Procesverkenner begrijpen
    3. Procesverkenner gebruiken om problemen op te lossen en te stellen
    4. Procesmonitor begrijpen
    5. Procesmonitor gebruiken om registerhacks op te sporen en te vinden
    6. Autoruns gebruiken om opstartprocessen en malware aan te pakken
    7. BGInfo gebruiken om systeeminformatie op het bureaublad weer te geven
    8. PsTools gebruiken om andere pc's vanaf de opdrachtregel te besturen
    9. Analyse en beheer van uw bestanden, mappen en stations
    10. Inpakken en de hulpmiddelen samen gebruiken

    Process Explorer, een taakbeheerder en systeemmonitorapplicatie, bestaat al sinds 2001, en hoewel het vroeger zelfs werkte op Windows 9x, ondersteunen de moderne versies alleen XP en hoger en zijn ze voortdurend bijgewerkt met functies voor moderne versies van Ramen. Het is de Defacto-standaard voor het oplossen van probleemoplossingsprocessen.

    Dus wat kan Process Explorer doen?

    Enkele van de betere functies omvatten het volgende, hoewel dit geenszins een volledige lijst is. Deze applicatie heeft veel functies en veel ervan liggen diep begraven in de interface. Verbazingwekkend genoeg is het ook een heel klein bestand.

    • De standaardstructuurweergave toont de hiërarchische bovenliggende relatie tussen processen en geeft met behulp van kleuren de processen in één oogopslag inzichtelijk.
    • Zeer nauwkeurig bijhouden van CPU-gebruik voor processen.
    • Kan worden gebruikt om Taakbeheer te vervangen, wat vooral handig is op XP, Vista en Windows 7.
    • Kan meerdere pictogrammen toevoegen om CPU, schijf, GPU, netwerk en meer te monitoren.
    • Zoek uit welk proces een DLL-bestand heeft geladen.
    • Zoek uit welk proces een open venster draait.
    • Zoek uit welk proces een bestand of map geopend en vergrendeld heeft.
    • Bekijk volledige gegevens over elk proces, inclusief threads, geheugengebruik, handvatten, objecten en zo ongeveer alles wat er te weten valt.
    • Kan een hele procesboom doden, inclusief alle processen die zijn gestart door degene die je wilt doden.
    • Kan een proces opschorten, alle threads bevriezen zodat ze niets doen.
    • Kan zien welke thread in een proces de CPU daadwerkelijk maximaliseert.
    • De nieuwste versie (v16) integreert VirusTotal in de interface, zodat u een proces op virussen kunt controleren zonder Process Explorer te verlaten.

    Elke keer dat u een probleem met een toepassing hebt, of iets blijft bevriezen op uw computer, of misschien probeert u erachter te komen waarvoor een bepaald DLL-bestand wordt gebruikt, is Process Explorer het hulpmiddel voor de taak.

    Inzicht in de boomstructuur

    Wanneer u Process Explorer voor het eerst start, krijgt u meteen veel visuele gegevens te zien - er is een hiërarchische structuurweergave van de processen die op uw computer worden uitgevoerd, inclusief CPU- en RAM-gebruik met behulp van numerieke waarden voor elk proces. Er zijn een paar kleine mini-activiteitsgrafieken bovenaan in de werkbalk, die u het CPU-gebruik tonen, waarop kan worden geklikt om in een apart venster weer te geven.

    Er gebeurt zeker veel, en het zou gemakkelijk zijn om overweldigd te worden door alles op het scherm.

    Het eerste scherm geeft u een reeks kolommen met:

    • Werkwijze - de bestandsnaam van het uitvoerbare bestand samen met het pictogram als er een bestaat.
    • processor - het percentage CPU-tijd in de laatste seconde (of wat de updatesnelheid ook is)
    • Privé bytes - de hoeveelheid geheugen die alleen aan dit programma is toegewezen.
    • Werkset - de hoeveelheid daadwerkelijke RAM die door Windows aan dit programma is toegewezen.
    • PID  - de proces-ID.
    • Omschrijving - de beschrijving, als de applicatie er een heeft.
    • Bedrijfsnaam - deze is nuttiger dan je denkt. Als iets niet helemaal klopt, begin dan met zoeken naar processen die niet door Microsoft zijn.

    U kunt deze kolommen aanpassen en vele andere opties toevoegen, of u kunt gewoon op een van de kolommen klikken om op dat veld te sorteren. Als je ooit eerder Task Manager hebt gebruikt, heb je waarschijnlijk gesorteerd op geheugen of CPU, en je kunt dat hier ook doen.

    Als u op Proces klikt, schakelt u tussen sorteren door de procesnaam of gaat u terug naar de standaardboomweergave, wat erg handig is als u er eenmaal aan gewend bent.

    De weergave wordt eenmaal per seconde bijgewerkt, maar u kunt naar Beeld -> Snelheid bijwerken en aanpassen hoe vaak het wordt bijgewerkt, met als laagste 0,5 seconden en het hoogste niveau 10 seconden. Als je het gebruikt voor het oplossen van problemen is de standaardwaarde waarschijnlijk prima, maar als je het als een CPU-monitor in het systeemvak wilt gebruiken, kan het zijn dat 5 of 10 seconden minder CPU gebruiken terwijl het op de achtergrond draait.

    U kunt de weergave ook onder hetzelfde submenu onderbreken of door eenvoudigweg op de spatiebalk te drukken. Dit zal de weergave bevriezen als een momentopname in de tijd, wat handig kan zijn als je een proces probeert te identificeren dat begint en snel sterft, of als je hebt besloten te sorteren op CPU-gebruik en alle rijen rond blijven springen.

    In het geval van een snel afsluitingsproces wilt u echter extra kolommen toevoegen aan de standaardweergave voor alles wat u misschien zou willen weten, omdat klikken op een proces in de lijst niet meer wordt weergegeven in de detailsweergave als de het proces is niet actief, zelfs als u alles hebt onderbroken.

    Inzicht in al die kleuren

    Er zijn absoluut veel kleuren in een typische Process Explorer-lijst, wat een beetje verwarrend kan zijn voor de beginnende nerd. Het is erg belangrijk om te leren wat al deze kleuren betekenen, omdat ze er niet alleen voor de show zijn - ze betekenen allemaal iets belangrijks.

    Wanneer je niet meer weet wat een van de kleuren betekent, kun je naar Opties -> Kleuren instellen in het menu gaan om het dialoogvenster Kleurselectie te openen. Dit is eigenlijk een snel spiekbriefje naar wat alles betekent. Blijf lezen, want we zullen het hier ook uitleggen.

    Op basis van de kleuren in de bovenstaande afbeelding, dit is wat elk van de geselecteerde items betekent (de andere zijn niet echt belangrijk).

    • Nieuwe objecten (helder groen) - Wanneer een nieuw proces wordt weergegeven in Process Explorer, begint het als fel groen.
    • Verwijderde objecten (rood) - Wanneer een proces wordt gedood of wordt gesloten, knippert het meestal rood voordat het wordt verwijderd.
    • Eigen processen (lichtblauwachtig) - Processen die worden uitgevoerd als hetzelfde gebruikersaccount als Process Explorer.
    • Services (lichtroze) - Windows Service-processen, hoewel het de moeite waard is te weten dat ze mogelijk onderliggende processen hebben die worden gestart als een andere gebruiker, en deze kunnen een andere kleur hebben.
    • Opgeschorte processen (donkergrijs) - Wanneer een proces is opgeschort, kan het niets doen. U kunt Process Explorer gemakkelijk gebruiken om een ​​toepassing op te schorten. Soms worden gecrashte apps even grijs weergegeven terwijl Windows de crash afhandelt.
    • Immersive Process (Bright Blue) - Dit is gewoon een mooie manier om te zeggen dat het proces een Windows 8-toepassing is die de nieuwe API's gebruikt. In de schermafdruk eerder zag je mogelijk WSHost.exe, een "Windows Store Host" -proces dat Metro-apps uitvoert. Om een ​​of andere reden zullen Explorer.exe en Task Manager ook als meeslepend verschijnen.
    • Ingepakte afbeeldingen (paars) - deze processen kunnen gecomprimeerde code bevatten die erin verborgen is, of tenminste denkt Procesverkenner dat ze doen door heuristieken te gebruiken. Als u een paars proces ziet, moet u scannen op malware!

    Aangezien er duidelijk enige overlap is tussen deze verschillende scenario's, worden de kleuren in een volgorde van prioriteit toegepast. Als een proces een service is en wordt onderbroken, wordt het in donkergrijs weergegeven omdat die kleur belangrijker is.

    Van wat we tijdens het onderzoeken hebben geleerd, is de volgorde Opgeschort> Verpakt> Meeslepend> Diensten -> Eigen processen.

    Identificatie van de toepassing

    Een echt nuttige optie waarvan we ons verbazen dat deze standaard niet is ingeschakeld, is te vinden bij Opties -> Afbeelding handtekeningen verifiëren.

    Met deze optie wordt de digitale handtekening gecontroleerd voor elk uitvoerbaar bestand in de lijst. Dit is van onschatbare waarde voor het oplossen van problemen bij het bekijken van een verdachte applicatie die in de lijst wordt uitgevoerd.

    De overgrote meerderheid van de gerenommeerde software moet op dit moment digitaal worden ondertekend. Als iets niet is, moet u goed kijken of u het zou moeten gebruiken.

    Actie ondernemen op een proces

    U kunt snel actie ondernemen op elk proces door er met de rechtermuisknop op te klikken en een van de opties te kiezen, of door de sneltoetsen te gebruiken als u dat wilt. Die opties omvatten:

    • Venster - heeft opties inclusief Naar voorgrond brengen, wat handig kan zijn om het venster te helpen identificeren dat aan een proces is gekoppeld. Als er geen vensters voor dat proces zijn, wordt deze grijs weergegeven.
    • Prioriteit instellen - u kunt dit gebruiken om de prioriteit van een proces te configureren. Dit is vooral handig voor het temmen van een uit de hand gelopen proces dat je niet wilt doden.
    • Proces doden - net zoals je je zou indenken, doodt dit snel dat proces.
    • Kill Process Tree - Dit doodt niet alleen het item in de lijst, maar ook de kinderen van dat bovenliggende proces.
    • Herstarten - Spectaculair nuttig tijdens het testen, dit doodt gewoon het proces en start het vervolgens opnieuw. Het is vermeldenswaard dat het doden van processen kan resulteren in verloren gegevens.
    • opschorten - deze handige optie is geweldig voor het oplossen van problemen als een proces niet meer onder controle is. U kunt het proces eenvoudig opschorten in plaats van het te doden en controleren of er iets niet klopt.
    • Controleer VirusTotal - dit is een nieuwe optie die we verderop zullen toelichten. Het is eigenlijk best handig, omdat het het proces controleert op virussen.
    • Zoek online - dit zal gewoon op het web zoeken naar de naam van het proces.

    En natuurlijk als je Eigenschappen opent die je naar nog meer bruikbare informatie over het proces zullen brengen, waarvan we veel zullen bespreken in de volgende les.

    Notitie: we hebben de Temp-optie uitgetest maar geen idee wat het doet.

    Wordt uitgevoerd als beheerder

    Hoewel u Process Explorer absoluut niet als beheerder hoeft uit te voeren, zullen veel van de nuttige functies niet werken en zult u niet zoveel informatie over elk proces kunnen zien..

    Als u Windows XP of 2003 gebruikt, moet u worden uitgevoerd als een account met volledige beheerdersrechten om de meeste functies te gebruiken. Dit is waarschijnlijk geen probleem voor de meeste mensen, omdat XP sowieso de standaardaccount volledige rechten gaf, maar als je dit op het werk probeert te gebruiken zonder beheerderstoegang, zal het niet zo goed werken..

    Aangezien de meeste van onze lezers Windows 7, 8.x of zelfs Vista gebruiken, zult u waarschijnlijk bekend zijn met het uitvoeren van een toepassing als beheerder. Het is heel eenvoudig ... klik met de rechtermuisknop en kies de optie in het menu.

    Leuk weetje: Process Explorer gebruikt eigenlijk het privilege Debug Programs, wat een lange weg is om uit te leggen waarom het zo krachtig is.

    Gedwongen procesverkenner altijd openen als beheerder

    Als u ervoor wilt zorgen dat Process Explorer altijd als beheerder wordt geopend zonder dat u eraan moet denken om er met de rechtermuisknop op te klikken, kunt u dit forceren door een speciale snelkoppeling te maken die de beheerdersmodus vereist of door de eigenschappen voor procexp.exe te openen. ga naar Compatibiliteit en kies vervolgens de optie "Voer dit programma uit als beheerder".

    Hoe dan ook werkt prima, of je kunt ook gewoon UAC desgewenst uitschakelen, waardoor alles altijd als beheerder wordt uitgevoerd. Wij bevelen dat niet aan, maar u kunt het wel doen.

    Procesverkenner gebruiken om Taakbeheer te vervangen

    Process Explorer is al lang gebruikt als een krachtige vervanging voor de eerder anemische Task Manager-toepassing in elke versie van Windows voorafgaand aan Windows 8, en ervan uitgaande dat u wat echte macht in uw handen wilt, werkt het ook echt goed als vervanging in die versie.

    Notitie: Taakbeheer van Windows 8 is sterk verbeterd ten opzichte van eerdere versies. Het is nog steeds niet zo krachtig als Process Explorer, maar het is waarschijnlijk gemakkelijker voor gewone mensen om te gebruiken. Dus verander de computer van mama niet om standaard naar Process Explorer te gaan.

    Om Process Explorer Taakbeheer te laten vervangen, hoeft u alleen maar de optie Opties -> Taakbeheer vervangen in het menu te kiezen. Dat is het.

    Als je dat eenmaal hebt gedaan, zal het gebruik van CTRL + SHIFT + ESC of rechtsklikken op de taakbalk zowel Process Explorer starten als Taakbeheer. Makkelijk, toch?

    Waarschuwing: als u Task Manager vervangt, moet u absoluut zeker zijn dat u Process Explorer op een plaats hebt geplaatst waar u niet per ongeluk het bestand verplaatst of verwijdert. Anders zit je vast met een systeem dat geen Task Manager kan starten.

    Process Explorer gebruiken als een Awesome Tray Icon Monitor

    Een van de beste functies van Process Explorer is de mogelijkheid om het in het systeemvak te minimaliseren, maar in plaats van slechts één pictogram, kan het worden geminimaliseerd tot een volledige reeks pictogrammen die CPU, I / O, schijf, netwerk en GPU kunnen controleren en RAM, of een combinatie hiervan. U kunt ze zo configureren dat ze afzonderlijk worden weergegeven of helemaal niet, als u dat wilt.

    Als u dit wilt instellen, opent u het menu Opties, gaat u naar het gedeelte Ladepictogrammen en klikt u vervolgens op elk van de ladepictogrammen die u wilt weergeven.

    U kunt Process Explorer elke keer uitvoeren als u begint met het uitvoeren van uw computer en deze vervolgens minimaliseren in het systeemvak, zodat deze er altijd voor u is. En, natuurlijk, als u de optie heeft gebruikt om Taakbeheer te vervangen, kunt u er snel toegang toe hebben met een sneltoets - hoewel u misschien de "Allow Only One Instance" -optie wilt gebruiken om ervoor te zorgen dat u geen stel afzonderlijke vensters.

    Procesverkenner gebruiken om snel naar VirusTotal te zoeken

    Als u aan een probleem-pc werkt en wilt achterhalen of een proces een virus is, kunt u zichzelf wat tijd besparen met Process Explorer versie 16 of hoger, omdat ze de integratie van VirusTotal rechtstreeks in de toepassing hebben toegevoegd. Klik met de rechtermuisknop op iets in de lijst om de optie te bekijken.

    De eerste keer dat u het uitvoert, wordt u gevraagd om de gebruiksvoorwaarden van VirusTotal te accepteren, maar nadat u dit hebt gedaan, ziet u de VirusTotal-resultaten in de lijst..

    U kunt op het resultaat klikken om naar VirusTotal te gaan en de details te bekijken. Het is een geweldige nieuwe toevoeging aan een van de beste hulpprogramma's ooit.

    Volgende les: Procesverkenner gebruiken om problemen op te lossen en te stellen

    In de volgende les in onze serie gaan we dieper in op het gebruik van Process Explorer in een aantal real-world scenario's om algemene problemen zoals malware en crapware op te lossen. Zorg dat je op de rest van de serie blijft.

    Pseudo-element voor en na begrijpen
    Informatie over routers, schakelaars en netwerkhardware
    Inzicht in LAN-netwerkoverdrachtsnelheden
    Volgend artikel
    Procesmonitor begrijpen
    Vorig artikel
    Microinteracties begrijpen in ontwerp van mobiele apps